TOP >> ウィルス情報 >> Backdoor:W32/Hupigon

F-Secure ウイルス情報

NAME: Backdoor:W32/Hupigon
ALIAS: Backdoor.Graybird, BDS/Hupigon.Gen, BKDR_HUPIGON.EVG, Mal/GrayBird, Backdoor.Gpigeon.GEN
VARIANT:
概要
Backdoor:W32/Hupigon はバックドア型トロイの木馬に分類されます。このマルウェアはリモートユーザがコンピュータにアクセスするのを可能にします。

詳細情報

Backdoor:W32/Hupigon

バックドアのファイルはPE実行ファイルです。亜種が299kBよりも小さいサイズなのは非常に稀です。このマルウェアの系列の作成に使われていたキットはUPXコードで圧縮するようデフォルトで設定されています。圧縮されない場合のコードのサイズは710kBです。Hupigons は Borland Delphiで作成されています。

このバックドアファイルが実行されると、"Hacker.com.cn.exe"と似た名前でWindowsのシステムフォルダに自分自身のコピーを作成し、以下のレジストリキーを作成して起動時に実行されるようにします。

  • HKLM\System\CurrentControlSet\Services\system32 ImagePath = C:\WINDOWS\Hacker.com.cn.exe

また、以下のレジストリキーも作成します。
  • HKLM\System\CurrentControlSet\Services\system32
  • HKLM\System\CurrentControlSet\Services\system32\Security

全体的に見ると、Hupigonの亜種は様々な異なるタイプの特徴を持ちます。以下はその例です。
  • リモートユーザにコンピュータへのアクセスを許可する
  • ユーザのWebカメラを利用した記録を許可する
  • ユーザのコンピュータから様々なサーバを攻撃できるようにする
  • 感染したコンピュータにメッセージを送る
  • 隠しファイル形式のステルスコンポーネントをもつルートキット機能
  • キーストロークを記録したり、パスワードを盗み、リモートサーバに送信する機能

典型的には、Hupigon は system32 のようなパスの上に自分自身のコピーを作成し、以下のようなプロセスとして実行することで自分自身がWindowsの正しいプログラムであるように見せかけています。
  • calc.exe
  • cmd.exe
  • mmc.exe
  • mspaint.exe
  • mstsc.exe
  • notepad.exe
  • osk.exe
  • sndrec.exe
  • sndvol32.exe
  • svchost.exe
  • winchat.exe

Hupigonの亜種を作成するキットはデフォルト設定でミューテックスを作成します。多くのHupigonマルウェアは以下のフォーマットのミューテックスを作成します。
  • xxx.com.cn_MUTEX

xxx は可変です。
例:Hacker.com.cn_MUTEX

Hupigon亜種では、典型的に以下の文字列が見つかります。
  • 6600.org
  • BEI_ZHU
  • GrayPigeon
  • Hacker.com.cn.exe
  • huaihuaitudou
  • Rejoice2007
  • woainisisi

Hupigonは自動的に自分自身を拡散させるメカニズムは持っていません。このため、作者によりEmail、Webサイト、Yahoo/MSN/ICQ/Skypeなどのインスタントメッセンジャーにより送られます。

Hupigon Kit

上で記載したように、Hupigonの亜種を作成するためのキットが準備されています。このキットは非常に高度なユーザインターフェース(UI)をもち、非常にプロフェッショナルな手法でメンテナンスされています。

以下はキットのメイン画面です。



多くのオプションを使うことが可能です。下の画面は「簡単設定」(Fast Configuration)のもので、以下のオプションを指定することができます。
  • サービス名:rejoice44.exe
  • インストールパス:Msinfo...
  • パスワード:1234
  • アイコン:MS Media Player
  • ファイアウォールをすり抜けるためにインターネットエクスプローラを使用する
  • ミューテックスを作成し、インストールフォルダからインストーラは削除する
  • UPXによる圧縮
  • 自己/自動複製の保護されたインストール先:system32
  • 実行ファイル名:calc.exe



"ルートキット"オプションも利用可能です。

以下は、DDoSのためのURLを指定できるオプション画面です。